Kelihos bot mreža ponovo ugašena, stručnjaci predviđaju da će se pojaviti nova

Vesti, 29.03.2012, 09:23 AM

Kelihos bot mreža ponovo ugašena, stručnjaci predviđaju da će se pojaviti nova

Po drugi put za šest meseci, stručnjaci proizvođača antivirusnog softvera kompanije Kaspersky Lab, predvodili su operaciju stavljanja pod kontrolu nove verzije Kelihos bot mreže, poznate i pod nazivom Hlux.

Prvo gašenje Kelihos bot mreže dogodilo se prošle godine u septembru, u čemu su pored Kaspersky Laboratorije učestvovali i Microsoft-ova Jedinica za digitalni kriminal, SurfNET i Kyrus Tech, Inc.

Bot mreža Kelihos ponovo se pojavila u januaru ove godine a ovog puta za njeno gašenje zaslužne su kompanije Kaspersky Lab, Dell Secure Works i Crowd Strike Inc.

Kelihos bot mreža se koristi za slanje spama, izvođenje DDoS napada i krađu virtuelnog novca kao što je bitcoin. Ona funkcioniše kao P2P (“peer-to-peer”) bot mreža, što otežava istraživačima njeno stavljanje pod kontrolu. Zbog toga je njeno gašenje znatno komplikovanije od gašenja bot mreže koja ima centralizovane komandne i kontrolne servere (C&C serveri).

Peer-to-peer bot mreže su decentralizovane, samoorganizovane i imaju više komandnih i kontrolnih servera koji se maskiraju u peer-ove. U slučaju Kelihos bot mreže, postojala su tri C&C servera i svaki je imao dve jedinstvene IP adrese.

Iz Kaspersky Laboratorije kažu da će preuzeti kontrolu nad C&C serverima bot mreže kako bi sprečili da i dalje distibuira bilo kakav zlonamerni sadržaj. S obzirom da privatne kompanije nemaju pravo da uklone infekciju sa zaraženih računara, Kaspersky će kontaktirati internet servis provajdere (ISP) čiji su korisnici zaraženi u nadi da će oni preduzeti nešto u vezi sa tim.

Uprkos uspešno obavjenom poslu, ponovno pojavljivanje Kelihos bot mreže samo nekoliko meseci pošto je slična bot mreža ugašena ukazuje na to koliko su komplikovani i neizvesni pokušaji da se stane na put globalnim mrežama zaraženih računara. Procene stručnjaka koji su učestovali u ovoj akciji su da treba očekivati da se Kelihos još jednom pojavi.

Stručnjaci veruju da se brzo pojavljivanje nove Kelihos bot mreže može objasniti plaćanjem po instalaciji (“pay-per-install”, PPI), što znači da su operateri bot mreže kupovali ili rentirali zaražene računare kako bi izgradili novu bot mrežu. Ova pretpostavka se temelji na činjenici da se većina zaraženih računara koji ulaze u sastav bot mreže nalazi u Poljskoj i da većina zaraženih računara ima instaliran operativni sistem Windows XP. To je prema mišljenju stručnjaka relevatno objašnjenje, s obzirom da većina PPI servisa manje naplaćuje za računare u Polskoj ali i za računare sa Windows XP.

Istraživači kažu da je ovo peta verzija Kelihos malvera i da oni koji su odgovorni za Kelihos mogu biti isti oni koji su autori porodica malvera Storm i Waledac.

Zanimlljivo je da grupa koja stoji iza Kelihos bot mreže ni ovoga puta nije pokušala da spreči ili umanji efekte gašenja mreže, što sugeriše da oni koji su odgovorni za bot mrežu ne smatraju ovakve akcije ozbiljnom pretnjom za svoj biznis.

Sinkholing (sinkhole) tehnika koja podrazumeva stavljanje bot mreže pod kontrolu istraživača kao što je to ovde slučaj je od pomoći samo ako je očekivani efekat ometanje i odlaganje aktivnosti kriminalnih grupa koje profitiraju od ovakvih mreža. Ali jedini pravi put u borbi protiv bot mreža je hapšenje i procesuiranje odgovornih za stvaranje bot mreže i grupa koje rukovode njima, zaključak je stručnjaka.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Korisnici računara u Evropi nesvesni rizika od neažuriranih dodataka za browsere

Korisnici računara u Evropi nesvesni rizika od neažuriranih dodataka za browsere

Stručnjaci često apeluju na korisnike da ne odlažu ažuriranje sistema i programa jer je preuzimanje i primena dostupnih ispravki za bezbednosne pr... Dalje

Ruske vlasti nude milione (rubalja) za identifikaciju korisnika Tora

Ruske vlasti nude milione (rubalja) za identifikaciju korisnika Tora

Rusko ministarstvo unutrašnjih poslova ponudilo je 3,9 miliona rubalja (111000 dolara) za metodu identifikacije korisnika na Tor mreži. Ministarstvo... Dalje

Hakovan sajt Evropske centralne banke, hakeri traže otkup za ukradene podatke korisnika

Hakovan sajt Evropske centralne banke, hakeri traže otkup za ukradene podatke korisnika

Web sajt Evropske centralne banke (ECB) je hakovan, a hakeri su ukrali email adrese i brojeve telefona korisnika posle čega su pokušali da iznude no... Dalje

Desetine hiljada sajtova hakovano zbog ranjivosti u MailPoet WordPress pluginu

Desetine hiljada sajtova hakovano zbog ranjivosti u MailPoet WordPress pluginu

Pre nekoliko nedelja istraživači firme Sucuri pronašli su ozbiljan bezbednosni propust u MailPoet WordPress pluginu. Tada je apelovano na korisnike... Dalje

Internet Explorer i Flash Player plugin najpopularnije mete hakera u 2014.

Internet Explorer i Flash Player plugin najpopularnije mete hakera u 2014.

Adobe Flash Player je ove godine najčešće napadani dodatak za browsere, kada je reč o 0-day napadima, pokazalo je najnovije istraživanje firme Br... Dalje